SEGURIDAD Y

AUDITORÍA DE
SISTEMAS DE Grupo 4
INFORMACIÓN -Paredes Mateo , Eduard Rafael
-Perez Tinoco , Harold Adrian
-Sanchez Dionicio , Renzo Alex
-Sosa Palacios , Jhosep George
-Valerio Contreras , Cristhian Jesus
-Yaun Espada , Jean Brian
AUDITORÍA DE
SISTEMAS
Auditoria de sistemas.
Funciones:
● Revisión de carácter objetivo, crítico, sistemático e
imparcial.
● Evaluación en los procesos del Área de
procesamiento de datos (PAD).
● Verificación de controles en el procesamiento de
información.
 Planeación de auditoría de sistemas
Examen detallado de áreas Comunicación de
Estudio preliminar
críticas resultados
● Administración ● Verificación del ● Problemas encontrados.
cumplimiento de los ● Medidas específicas de
● Entrevistas. estándares ISO/IEC, corrección.
COBIT, etc. ● Recomendaciones sobre
● Sistema. implantación de medidas
preventivas.
 Estudio preliminar.
● Investigación objetiva.
● Investigar causas.
● Criticar todos los informes.
Administración
En acuerdo con la administración se debe conseguir:
● Establecer los objetivos y alcances de la auditoría.
● Información sobre los equipos:
○ Número.
○ Características.
○ Nuevas y/o próximas instalaciones.
○ Funcionamiento o uso que se les da.
● Contratos y/o convenios.
● Políticas de operación y de uso de equipos.
Sistemas
Entrevista
¿Cuál es su parte favorita del trabajo?
¿Cuántas personas más realizan esta misma función?
Relacionado con el personal
¿Los otros miembros de la organización reconocen los aportes de su
departamento?
¿Cómo usted hace esto?
¿Por qué hace esto?
Relacionado con el proceso
¿cuál es la tarea más difícil?
¿Han ocurrido cambios en sus funciones durante los últimos meses?
¿Qué es lo peor que podría pasar?
¿Cómo se aseguran de que el proceso ha sido realizado
Relacionado con el riesgo y el control interno
satisfactoriamente?
¿Qué medidas preventivas se tienen?
¿Qué está bien y qué está mal?
¿Qué le gustaría cambiar?
Relacionado con mejoras al proceso ¿Conoce la importancia de su trabajo en el proceso?
¿Realiza su trabajo de forma efectiva?
¿Posee todos los recursos necesarios para realizar su trabajo?
Para finalizar ¿Tiene algún comentario o algo que quisiera preguntar?
 Proceso o Implementación
7.Desarrollo
1.Planeación 6.Evaluación de un informe
de fortaleza y
debilidades
8.Desarrollo de
2.Evaluación 5.Revisión de
un informe a
de riesgos evidencia
alta gerencia
3.Desarrollo 9. Seguimiento
4.Definición de de acciones
de un
objetivos y correctivas
programa
procedimientos
 Tipos de auditoría
● Externa
01 Por su lugar de aplicación ● Interna
● Financiera
● Administrativa
02 Por su área de aplicación ●
●
Operacional
Política
● Integral
● De sistemas
03 Especializadas en áreas específicas
●
●
●

De proyectos de inversión
De manejo de mercancías (inventarios)
Laboral
● De la seguridad de sistemas computacionales
04 De sistemas computacionales
●
●
●

Outsourcing
Integral de los centros de cómputo y redes
Ergonómica de sistemas computacionales
Objetivos
Conocer la situación actual y exacta de la
empresa en general o en algo en concreto
Dar credibilidad y confianza frente a posibles
inversores o entidades financieras.
Detectar fraudes que se estén cometiendo en la
empresa.
Comprobar la legalidad de todos los productos y
actuaciones.
Detectar errores técnicos que se estén realizando
Observar si el sistema de trabajo de la empresa
está siendo eficaz y eficiente.
Recabar la máxima información posible para
tomar decisiones que mejoren el rendimiento.
 Examen detallado de áreas críticas
Metodología de trabajo ( Técnicas)
● Hechos
● Estudio general
Posteriores
● Análisis
● Inspección
● investigación
● Confirmación
● Certificación
● Observación
● Comprobación
● Cálculo
La metodología a utilizar necesita ser
organizada y jerarquizada en etapas, esto
con la finalidad de ser comprendida con
facilidad
 Dictamen de la Comunicación de resultados
Informe final auditoría/anexos y
cuadros
adicionales
Problemas
Informe con encontrados
salvedades
Informe con Recomendaciones
Informe sin opinión Los efectos a
salvedades de la auditoría
adversa largo plazo
Informe sin opinión
 SEGURIDAD DE
LOS SISTEMAS DE
INFORMACIÓN
IMPORTANCIA DE LA SEGURIDAD DE LOS
SISTEMAS DE INFORMACIÓN
► Confidencialidad
► Integridad
► Disponibilidad
 ELEMENTOS DE LA SEGURIDAD DE
SISTEMAS DE INFORMACIÓN
►HARDWARE ►SOFTWARE
 CONTROLES GENERALES DE LOS
SISTEMAS DE INFORMACIÓN
► Controles de software.
► Controles de hardware.
► Controles de seguridad de datos.
► Controles de implementación.
► Controles administrativos.
► Controles operacionales de computadora.
 MECANISMOS DE SEGURIDAD DE
SISTEMAS DE INFORMACIÓN
► Firewall
► Cifrado de información
CIFRADO CÉSAR
 ► Software antivirus
→ Función cortafuegos
→ Verificación de red
→ Protección de correo
electrónico.
→ Respaldo de información
 SEGURIDAD BIOMÉTRICA
- Dactilar - Facial
SISTEMAS DE
GESTIÓN DE
SEGURIDAD DE LA
INFORMACIÓN
Definición
Es aquella parte del sistema
general de gestión en una
organización que comprende la
política, procedimientos, estructura
organizativa, procesos y recursos
necesarios para administrar la
información.
Objetivos
Cubrir los parámetros
básicos de la seguridad:
Integridad, confidencialidad
y disponibilidad.
¿Por qué implementar un SGSI?
Permite organizar las actividades de la organización y
dirigirlas al objetivo de la empresa.
Reduce el riesgo de pérdida, robo o corrupción de la
información sensible.
Se garantiza la confianza de los clientes y los socios de la
organización.
Reduce los costos y la mejora de los procesos y el servicio
brindado por la empresa.
Estándares para un SGSI
Familia de normas ISO 27000
Establecidas por la
Organización
Internacional para la
Estandarización
(ISO) y la Comisión
Electrotécnica
Internacional (IEC).
ISO/IEC 27001 Ciclo de Deming
Plan (planificar): fase de diseño, realiza la evaluación de
riesgos de seguridad y la selección de controles adecuados
Do (hacer): es una fase que envuelve la implantación y
operación de los controles.
Check (verificar): fase que tiene como objetivo revisar y
evaluar el desempeño (eficiencia y eficacia) del SGSI.
Act (actuar): Se realizan cambios cuando sea necesario
para llevar de vuelta el SGSI a máximo rendimiento.
POLÍTICAS DE
SEGURIDAD DE
SISTEMAS
POLÍTICAS DE USO ACEPTABLE (AUP)
● CASO UNILEVER:
ADMINISTRACIÓN DE IDENTIDADES
datos(gerencia)
Usuarios datos(empleados)
datos(clientes)
VALOR DE NEGOCIOS DE
LA SEGURIDAD Y EL
CONTROL
INVERSIÓN EN LA
SEGURIDAD DE
INFORMACIÓN
Proteger los sistemas de
información , es de mucha
importancia ya que evitan
grandes pérdidas de dinero a
una compañía, además de
generar confianza y
credibilidad.
CASO BJ's
WHOLESALE CLUB
Esta empresa tuvo que
pagar cerca de 13 millones
de dólares como
indemnización, por permitir
que hackers ingresen a robar
las cuentas de una parte de
sus usuarios.
REQUERIMIENTOS LEGALES Y
REGULATORIOS PARA LA
ADMINISTRACIÓN DE
REGISTROS DIGITALES
OBLIGACIONES LEGALES PARA PROTEGER LA INFORMACIÓN
1996 1999 2002
Ley de Gramm-Leach-
HIPAA bliley Ley Sarbanes-Oxley
Ley de responsabilidad y Ley de modernización de Ley de reforma de contabilidad
portabilidad de los seguros servicios financieros pública de compañías y
médicos. protección al inversionista
EVIDENCIAS
ELECTRÓNICAS Y
CÓMPUTO FORENSE
EVIDENCIAS
DIGITALES
Los casos judiciales
dependen cada vez mas
de evidencias digitales,
y las compañías están
obligadas a entregar
todo tipo de POLÍTICA EFECTIVA :
información que solicite •Registros digitales organizados.
un juzgado •Fácil acceso a registros.
•Tiempos de almacenamiento
relativamente duraderos.
CÓMPUTO FORENSE O ANÁLISIS FORENSE DE SISTEMAS
01
05 02
CÓMPUTO
EVIDENCIAS
FORENSE
04 03
VULNERABILIDAD
DE LOS SISTEMAS
 Clientes Servidores Sistemas
(usuarios) corporativos corporativos
●Acceso sin ●Virus y gusanos. ●Robo de datos.
autorización. ●Piratería ●Alteración de datos.
●Errores. informática. ●Falla de software.
●Vandalismo. ●Falla de hardware.
●Sniffing.
●Alteración
del mensaje.
 VULNERABILIDADES DE INTERNET
Módems de cable (DSL) Mensajería instantánea (IM) Redes de igual a igual P2P
 Desafíos de la seguridad
inalámbrica
SSID WEP
 Softwares maliciosos
Incrustan su código malicioso dentro del Host(archivo ejecutable) con lo cual
Virus llega a infectar a otros archivos del sistema modificándolo o dañandolo.
No pueden autorreplicarse por sí mismos.
Son malwares que se replican a sí mismos para propagarse a otras computadoras
Gusanos aprovechándose de una debilidad(exploit).
Son softwares maliciosos normalmente disfrazados de programas legítimos,
Troyanos capaces de alojarse en las computadoras con el fin de recopilar información o controlar
remotamente la máquina pero sin afectar muy visiblemente su funcionamiento.
Son softwares malintencionados que extraen información sobre una
Spywares
persona u organización sin su conocimiento.
Es un malware desarrollado con el objetivo de bloquear el uso de un ordenador o
Ransomware privarlo de parte de la información para que el usuario no pueda tener acceso y
posteriormente tenga que solicitar un rescate para su desbloqueo.
VULNERABILIDAD DEL SOFTWARE
GRACIAS POR SU ATENCION!!!
Autores del libro: Jane Price Laudon Kenneth C. Laudon